UserLock Documentation
UserLock Documentation
Vous êtes ici: Référence > Console > Administration du serveur > Dépersonnalisation du service

Dépersonnalisation du service

Lors de l'installation de l'application, le service UserLock est configuré par défaut pour utiliser le compte 'Service Réseau' afin de disposer du moins de privilèges possibles sur le réseau pour effectuer ses tâches courantes. C'est pourquoi durant l'installation de UserLock 'l'Assistant de configuration' demande la saisie d'un compte de dépersonnalisation se substituant au compte 'Service Réseau' pour les opérations nécessitant des privilèges supérieurs, i.e. les droits d'administrations sur les machines cibles :

  • Le déploiement des différents types d'agent.
  • Les opérations systèmes lors de l'application de règles : verrouillage de sessions, fermeture de sessions.
  • L'option de fermeture automatique des sessions illégitimes.
  • Les opérations systèmes à la demande : verrouillage de sessions, fermeture de sessions, arrêt des machines, redémarrage des machines.
  • Les synchronisations entre le serveur Principal et le serveur de Sauvegarde.
  • La connexion à la base de donnée lorsque le mode 'Authentification Windows' est configuré.

Cette section affiche le compte saisi lors de cette étape de 'l'Assistant de configuration' et permet d'éditer ce compte si nécessaire.

Remarques:

  • Ce compte de dépersonnalisation étant le compte utilisé par le service UserLock pour se connecter à la base de données dans le cadre de 'l'Authentification Windows' afin de sauvegarder l'ensemble des événements de session, il convient d'autoriser ce compte à se connecter au serveur de base de données et à administrer la base de données UserLock.
  • Aucune modification ne sera apportée à votre Active Directory ou à son schéma.
  • Le compte de dépersonnalisation est utilisé par le service UserLock uniquement. L'agent Desktop UserLock s'exécute en tant que compte SYSTEM local sur l'ordinateur associé.
  • Le compte "<domain>\<UserLock server name>$" doit avoir les droits d'accès en lecture pour les données d'utilisateur et d'ordinateur dans Active Directory.
  • Le compte de dépersonnalisation doit être autorisé à se connecter en tant que service. Avant de modifier ce paramètre, connectez-vous au serveur UserLock, ouvrez "Stratégie de sécurité locale" ("secpol.msc"), "Stratégies locales", "Attribution des droits d'utilisateur", vérifiez que le compte cible est dans la liste "Ouvrir une session en tant que service" et qu'il ne figure pas dans la liste "Interdire l'ouverture de session en tant que service".